Διαρροή πληροφοριών από συνεργάτη ESET σε ισραηλινούς οργανισμούς

Χάκερ παραβίασαν τον αποκλειστικό συνεργάτη της ESET στο Ισραήλ για να στείλουν μηνύματα ηλεκτρονικού ψαρέματος σε ισραηλινές επιχειρήσεις που ώθησαν τους υαλοκαθαριστήρες μεταμφιεσμένους ως λογισμικό προστασίας από ιούς για καταστροφικές επιθέσεις.

Ο καθαριστής δεδομένων είναι κακόβουλο λογισμικό που διαγράφει σκόπιμα όλα τα αρχεία σε έναν υπολογιστή και συνήθως αφαιρεί ή καταστρέφει τον πίνακα διαμερισμάτων για να κάνει πιο δύσκολη την ανάκτηση των δεδομένων.

Σε μια εκστρατεία ηλεκτρονικού ψαρέματος που ξεκίνησε στις 8 Οκτωβρίου, στάλθηκαν μηνύματα ηλεκτρονικού ταχυδρομείου με το λογότυπο της ESET από τον νόμιμο τομέα eset.co.il, υποδεικνύοντας ότι ο διακομιστής email του τμήματος του Ισραήλ παραβιάστηκε ως μέρος της επίθεσης.

Ενώ ο τομέας eset.co.il είναι επώνυμος με το περιεχόμενο και τα λογότυπα της ESET, η ESET είπε στο BleepingComputer ότι διαχειρίζεται η Comsecure, ο διανομέας της στο Ισραήλ.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου προσποιούνται ότι προέρχονται από την “Ομάδα Προηγμένης Άμυνας Απειλών της ESET”, προειδοποιώντας τους πελάτες ότι οι επιτιθέμενοι που υποστηρίζονται από την κυβέρνηση προσπαθούν να στοχεύσουν τη συσκευή του παραλήπτη. Για την προστασία της συσκευής, η ESET προσφέρει ένα πιο προηγμένο εργαλείο προστασίας από ιούς που ονομάζεται “ESET Unleashed” για προστασία από την απειλή.

“Η συσκευή σας έχει εντοπιστεί μεταξύ μιας λίστας συσκευών που επί του παρόντος στοχεύονται από έναν παράγοντα απειλών που υποστηρίζεται από το κράτος. Οι πληροφορίες που ελήφθησαν από το Τμήμα Πληροφοριών Απειλών της ESET εντόπισαν μια ομάδα απειλών με γεωπολιτικά κίνητρα που προσπάθησε να στοχεύσει τον υπολογιστή σας εντός των τελευταίων 14 ημερών από αυτό email», αναφέρει το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος που έλαβε η BleepingComputer.

“Στο πλαίσιο του προγράμματος Advanced Threat Defense (ESET-ATD) της ESET, η ESET σάς παρέχει πρόσβαση στο πρόγραμμα ESET Unleashed, σχεδιασμένο για την αντιμετώπιση προηγμένων στοχευμένων απειλών, για να μπορείτε να το εγκαταστήσετε σε έως και 5 συσκευές σας.”

Από τις κεφαλίδες ηλεκτρονικού ψαρέματος, το BleepingComputer επιβεβαίωσε ότι το email προήλθε από νόμιμους διακομιστές αλληλογραφίας για το eset.co.il, περνώντας δοκιμές ελέγχου ταυτότητας SPF, DKIM και DMARC.

Για περαιτέρω προσθήκη νομιμότητας στην επίθεση, ο σύνδεσμος για τη λήψη φιλοξενήθηκε στον τομέα eset.co.il σε διευθύνσεις URL όπως, https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip, τα οποία είναι πλέον απενεργοποιημένα.

Αυτό το αρχείο ZIP [VirusTotal] περιέχει τέσσερα αρχεία DLL ψηφιακά υπογεγραμμένα από το νόμιμο πιστοποιητικό υπογραφής κώδικα της ESET και ένα Setup.exe που δεν είναι υπογεγραμμένο.

Τα τέσσερα DLL είναι νόμιμα αρχεία που διανέμονται ως μέρος του λογισμικού προστασίας από ιούς της ESET. Ωστόσο, το Setup.exe [VirusTotal] είναι ο κακόβουλος υαλοκαθαριστήρας δεδομένων.

Το BleepingComputer προσπάθησε να δοκιμάσει τον υαλοκαθαριστήρα σε μια εικονική μηχανή, αλλά το εκτελέσιμο αρχείο συνετρίβη αυτόματα.

Εμπειρογνώμονας κυβερνοασφάλειας Ο Kevin Beaumont είχε καλύτερη επιτυχία όταν εκτελείται σε φυσικό υπολογιστή, δηλώνοντας ότι θα απευθυνόταν σε έναν νόμιμο ισραηλινό ιστότοπο ειδήσεων στη διεύθυνση www.oref.org.il.

“Το etup.exe είναι κακόβουλο. Χρησιμοποιεί μια σειρά από προφανείς τεχνικές για να προσπαθήσει να αποφύγει τον εντοπισμό”, εξηγεί ο Beaumont.

“Θα μπορούσα να το κάνω να πυροδοτηθεί σωστά μόνο σε φυσικό υπολογιστή. Καλεί διάφορα προφανώς κακόβουλα πράγματα, π.χ. χρησιμοποιεί ένα Mutex από την ομάδα εκβιασμών/ransomware Yanluowang.”

Προς το παρόν, είναι άγνωστο πόσες εταιρείες στοχοποιήθηκαν σε αυτήν την εκστρατεία phishing ή πώς παραβιάστηκε η Comsecure, ο Ισραηλινός διανομέας της ESET.

Η BleepingComputer έστειλε email σε διάφορα άτομα στην Comsecure, συμπεριλαμβανομένου του Διευθύνοντος Συμβούλου της, αλλά δεν έχει λάβει ακόμη απάντηση.

Ενώ η επίθεση δεν έχει αποδοθεί σε κάποιον συγκεκριμένο παράγοντα απειλής ή χάκτιβισμό, οι υαλοκαθαριστήρες δεδομένων είναι από καιρό ένα δημοφιλές εργαλείο σε επιθέσεις κατά του Ισραήλ.

Το 2017, ένας αντι-ισραηλινός και φιλοπαλαιστινιακός καθαριστής δεδομένων που ονομάζεται IsraBye ανακαλύφθηκε σε επιθέσεις σε ισραηλινές οργανώσεις.

Το 2023, το Ισραήλ υπέστη ένα κύμα επιθέσεων με υαλοκαθαριστήρες BiBi με στόχο οργανισμούς, συμπεριλαμβανομένων των τομέων της εκπαίδευσης και της τεχνολογίας.

Πολλές από αυτές τις επιθέσεις συνδέονταν με ιρανικούς παράγοντες απειλών, στόχος των οποίων δεν ήταν να δημιουργήσουν έσοδα, αλλά μάλλον να σπείρουν το χάος και να διαταράξουν την οικονομία του Ισραήλ.